昨天我們介紹敏感與重要資料的識別與掌握,
並提到透過不同技術控制項目持續探勘各個資料環境的重要資料,
目的都是希望減少資料意外或故意未經妥善存管導致的資料外洩風險。
今天技術篇持續帶來「資料存取活動監控」的區塊,
主要針對資料存取活動的監控來介紹哪些我們可以注意的地方,
資料庫是 IT 系統非常悠久的設計與核心系統架構,
包括在 Oracle、MS-SQL、DB2、PostgreSQL 等等,
都是業界最知名與最重要的資料庫解決方案供應商,
包括「資料庫即服務 (Database as a Service, DBaaS)」的雲端服務,
也都是乘載現今各式資料運用的核心載體。
資料活動概略可以從:人、事、時、地、物幾個面向可以探討:
人 (Who):是哪個用戶、帳號存取資料的?
事(Why):基於什麼需求或目的進行資料存取?
時 (When):是何時實際發生的資料存取活動?
地 (Where):從哪個來源位置或系統進行的資料存取?
物 (What):具體存取了哪些資料內容?
資料庫的資料活動「可視化 (Visibility)」,
就是為了揭示這五種的樣態的資料活動細節,
意即:「你無法保護你看不到的東西」。
資料庫已經是 IT 系統存取資料的關鍵位置的代稱,
更多實踐資料庫概念的技術與實際媒體載體,
包含各種開發廠商的資料庫種類,
除了傳統 SQL 型的資料庫,還有像是包含:
Big Data、DBaaS、Data warehouses、SAP 等等,
每個資料系統運作的特性以及能實現相關資料存取監控的方式也不同。
因此掌握資料活動的可視化的必要條件,也必須能適應各種不同資料載體的技術要求。
在滿足支援各種不同平台實現的監控機制,
也獲得了人事時地物的詳細資料,
再來即是如何「持續性」維持資料活動的監控機制,
而這也牽涉到背後大量稽核日誌的儲存與運用,
也包含接續幾天鐵人文章會比較細節提到的:
:哪些資料活動情形需要告警?
:哪些稽核日誌需要定期性報表查詢?
:長期日誌的保存空間、備份與保護
有效的資料安全存取監控得是持續性實施的,
一旦無法持續維持,就會產生斷點或風險暴露的情形,
進而導致前期投入的成本可能付之東流。
近幾年生成式 AI 風行,各類型運用都希望透過 AI 加速價值的體現,
資料安全的活動監控機制也不例外,
如何透過過去的資料活動產生風險基準?
例如透過與用戶相關的異常活動、嚴重程度的資料違規數量、
系統既存的漏洞評估情形,或是敏感數據的查詢次數,
都可以歸類與構成衡量資料風險的基準與衡量來源,
最後得到與正常用戶平均活動相對而言高度活躍的活動量。
能實現資料安全的核心支撐,即是實現資料安全保護機制,
而要有效實施保護效果之前,
得先知道要保護的東西是什麼、在哪裡以及能夠保護。
明天的鐵人文章,我們會就實施資料安全的告警機制:
安全政策 (Policy) 來說明當蒐集到相關稽核日誌後,
該如何來具體規劃資料安全政策與觸發的條件時間。